 |
Определение объектов защиты; анализ и оценка угроз безопасности информации; определение и нормативное закрепление состава защищаемой информации.
|
|
|
|
| Определение объектов защиты |
| Средства защиты можно рассматривать по объектам их воздействия. В этом плане они могут применяться для защиты людей, материальных средств, финансов, информации. Объектом же защиты информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты. В связи с этим основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов. В процессе построения КСЗИ сначала производится инвентаризация всех информационных ресурсов. Каждый ресурс и его владелец должны быть четко идентифицированы и задокументированы. Далее выполняется классификация ресурсов и по ее результатам присваивают грифы секретности данным. Эта процедура необходима по двум причинам: во-первых, не все ресурсы требуют защиты; во-вторых, если пытаться обезопасить все ресурсы, то для этого понадобится потратить слишком много сил и ресурсов. По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры, или технических средств и систем, или отдельных элементов зданий, помещений, аппаратуры, или оборудования каналов утечки информации. Основными целями защиты информации в ПЭВМ и информационных сетях (ИС) являются: – обеспечение юридических норм и прав пользователей в отношении ДОСТУПА к информационным и другим сетевым ресурсам; – административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы; – предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов; – обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения. |
Угроза — это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
|
|
|
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности и доступности.
Угрозы целостности заключаются в несанкционированной модификации, подмене и уничтожении информации.
Угрозы конфиденциальности заключаются в несанкционированном ознакомлении с информацией.
Угрозы доступности заключаются в нарушении своевременного и надежного доступа к информации или КС.
Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда. С учетом этого угрозы могут быть классифицированы следующим образом:
– по величине принесенного ущерба:
– предельный, после которого фирма может стать банкротом;
– значительный, но не приводящий к банкротству;
– незначительный, который фирма за какое-то время может компенсировать.
– по вероятности возникновения:
– весьма вероятная угроза;
– вероятная угроза;
– маловероятная угроза.
– по причинам появления:
– стихийные бедствия;
– преднамеренные действия.
– по характеру нанесенного ущерба:
– материальный;
– моральный;
– по характеру воздействия:
– активные;
– пассивные.
– по отношению к объекту:
– внутренние (82% угроз совершается собственными сотрудниками фирмы при их прямом или опосредованном участии, 1% угроз совершается случайными лицами);
– внешние (17% угроз совершается извне – внешние угрозы).
Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно-управленческого аппарата.
|
|
|
Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.
| Определение и нормативное закрепление состава защищаемой информации |
| Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии с стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности. Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован. Для определения состава защищаемой информации необходимо ответить на вопросы: 1) Какие сведения следует охранять? 2) Кого они интересуют? 3) Почему они нуждаются в получении этих сведений? 4) Какие виды информации имеются в данной организации? 5) Какова ценность каждого из видов информации 6) Какая защита необходима для каждого вида информации? Кроме того, государственные законодательные акты оговаривают следующие виды защищаемой информации: 1) Информация, относящаяся к государственной тайне – ФЗ "О ГТ ", Указ Президента РФ «О перечне сведений, составляющих ГТ» 2) Информация, составляющая коммерческую тайну. Постановление правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну», Гражданский кодекс РФ, Закон «О коммерческой тайне». 3) Информация, составляющая банковскую тайну. Закон «О банках и банковской деятельности». 4) Информация, составляющая профессиональную тайну. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера». Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов. Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений: – предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз; – предприятие обязано обеспечить сохранность конфиденциальной информации. Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся: – Положение о сохранении конфиденциальной информации; – Перечень сведений, составляющих конфиденциальную информацию; – Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию; – Положение о специальном делопроизводстве и документообороте; – Перечень сведений, разрешенных к опубликованию в открытой печати; – Положение о работе с иностранными фирмами и их представителями; – Обязательство сотрудника о сохранении конфиденциальной информации; – Памятка сотруднику о сохранении коммерческой тайны. Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. |
|
|
|
|
|
|
